100 mln samochodów można otworzyć bez użycia oryginalnego kluczyka - wystarczy laptop
W ostatnich dniach w mediach pojawiła się informacja o badaniu, w ramach którego eksperci byli w stanie zdalnie otwierać samochody bez fizycznego dostępu do oryginalnego kluczyka. Dotyczy to aż 100 milionów samochodów na świecie. Rozwój bezpiecznych technologii komunikacyjnych dla samochodów to coraz bardziej istotna kwestia, z którą musi się liczyć zarówno branża motoryzacyjna, jak i technologiczna.
Dwaj przestępcy wyspecjalizowali się obchodzeniu zabezpieczeń w najnowszych modelach marek Jeep i Dodge (obie należące do koncernu Fiat Chrysler Automobiles). Auta kradli za pomocą laptopów, które podłączali do gniazda komputerowego samochodu. Po dostaniu się do systemu bez kłopotu odblokowywali i uruchamiali silnik, po czym odjeżdżali. Więcej o procederze przeczytacie na łamach serwisu Moto WP: Jeepy i Dodge padają łupem elektronicznych złodziei.
Nie trzeba było długo czekać na konsekwencje tych informacji. Powołując się na badaczy z Niemiec i Wielkiej Brytanii, konsorcjum śledcze niemieckich mediów poinformowało w czwartek o wykryciu usterki zabezpieczeń w 10. milionach samochodów na świecie. Chodzi o zdalne otwieranie i zamykanie drzwi i bagażników. Informację tę podał dziennik "Sueddeutsche Zeitung" wraz z regionalnymi publicznymi rozgłośniami NDR i WDR. Ich redakcje wspólnie przeprowadziły śledztwo dziennikarskie.
Media te podały, że dzięki ograniczonej liczbie haseł hakerzy są w stanie złamać bariery bezpieczeństwa w kluczach (pilotach) do samochodów Volkswagena, używając starszych kluczy. Trzy media wymieniają też innych producentów: Citroena (modele Nemo i Jupiter), Peugeota (zwłaszcza 207), Renault (Clio, Twingo), Fiata (Punto, Panda), Opla (Astra, Corsa), Nissana (Qashqai) i Forda (Ka).
Sytuacja, w której badacze zdołali zdalnie otworzyć samochody bez fizycznego dostępu do oryginalnego kluczyka, jasno pokazuje, że jeżeli atakujący posiada odpowiednio dużo czasu i wiedzy, może złamać niemal każde urządzenie. Siergiej Zorin, ekspert ds. bezpieczeństwa IT z Kaspersky Lab twierdzi, że to niewykluczone, iż dodatkowa inwestycja czasu i pieniędzy pozwoli odtworzyć rezultaty badania dla samochodów także innych producentów. Z drugiej strony eksperyment pokazał również, że producenci coraz intensywniej myślą o cyberbezpieczeństwie samochodów i włamanie się do nowoczesnych pojazdów nie jest sprawą prostą - przynajmniej w większości przypadków. Nie można zatem stwierdzić, że eksperyment badaczy powiódł się, ponieważ dany producent samochodów stosuje złe podejście do bezpieczeństwa. Mimo to, branża motoryzacyjna boryka się z pewnymi kwestiami, które mogą stanowić problem.
Pierwsza kwestia wynika z tego, że producenci samochodów muszą planować wszystko, łącznie z kwestiami bezpieczeństwa, od pięciu do siedmiu lat do przodu - tyle trwa typowy cykl rozwojowy dla nowego modelu samochodu. Nie jest tajemnicą, że metody wykorzystywane przez cyberprzestępców ewoluują znacznie szybciej i zabezpieczenia nowego samochodu mogą być przestarzałe już w momencie jego rynkowej premiery.
Drugi problem jest związany z faktem, że w wyniku ograniczeń technologicznych nie zawsze da się dostarczyć poprawki bezpieczeństwa na tyle szybko i szeroko, by wyeliminować potencjalne zagrożenia. Obydwie kwestie mogłyby zostać rozwiązane poprzez zastosowanie mechanizmów pozwalających na łatwą aktualizację pokładowych systemów komputerowych bez udziału autoryzowanych serwisów. W takiej sytuacji właściciele aut mogliby instalować poprawki usuwające luki natychmiast po wykryciu nowych błędów. Taka aktualizacja mogłaby być nawet wykonywana automatycznie. Spodziewamy się, że w przypadku samochodów, które pojawią się na rynku za około 5 lat, rozwiązania tego typu będą standardem. U niektórych producentów takie podejście do aktualizacji pokładowych systemów informatycznych można zaobserwować już dzisiaj, co jest godne pochwały.
Trzecim problemem, z którym producenci samochodów muszą się mierzyć już dzisiaj, jest łączność aut z internetem. Idea „połączonego”. samochodu polega na tym, że wiele modułów pojazdu korzysta z kanałów wymiany informacji ze światem zewnętrznym. Kanałów, w zabezpieczeniach których badacze zidentyfikowali już pewne luki. Nieustannie pojawia się coraz więcej błędów w zabezpieczeniach łączności samochodów z internetem.
Rozwój bezpiecznych technologii komunikacyjnych dla samochodów to dziedzina, na której powinna się skupić w najbliższych latach zarówno branża bezpieczeństwa jak i motoryzacyjna.
WP-słk / PAP / Kaspersky Lab Polska
